甲骨文稱 Java 序列化的存在是個錯誤，計劃刪除

甲骨文計劃從 Java 中去除序列化功能，因其在安全方面一直是一個棘手的問題。Java 序列化也稱為 Java 對象序列化，該功能用于將對象編碼為字節流…Oracle 的 Java 平臺小組的首席架構師 Mark Reinhold 說：“刪除序列化是一個長期目標，并且是 Project Amber 的一部分，它專注于面向生產力的 Java 語言功能。”

、

為了替換當前的序列化技術，一旦記錄，會在平臺中放置一個小的序列化框架，支持 Java 版本的數據類。該框架可以支持記錄圖形，開發人員可以插入他們選擇的序列化引擎，支持 JSON 或 XML 等格式，從而以安全的方式序列化記錄。 但 Reinhold 還不能確定哪個版本的 Java 將具有記錄功能。 序列化在 1997 年是一個“可怕的錯誤”，Reinhold 說。 他估計至少有三分之一甚至是一半的 Java 漏洞涉及序列化，序列化總體上是脆弱的，但具有在簡單用例中易于使用的特性。 來源：開源中國